Yahoo heeft voor Yahoo Mail standaard HTTPS ingeschakeld, waardoor de verbinding tussen gebruikers en de internetgigant altijd beveiligd is. Het maakt daarbij niet uit of de e-maildienst via een mobiele app, mobiel toestel, webmail of e-mailclient wordt gebruikt, zo laat Yahoo via Tumblr weten.

Voor de versleuteling gebruikt Yahoo een SSL-certificaat van 2048-bits. Door het gebruik van de encryptie kunnen partijen die de verbinding aftappen de inhoud van e-mails niet lezen, tenzij ze over de encryptiesleutel van het SSL-certificaat beschikken. Daarnaast zouden opsporingsdiensten de berichten bij Yahoo kunnen opvragen, om zo de inhoud te achterhalen.

Implementatie

De implementatie van HTTPS zou echter niet optimaal zijn. Bij een aantal mailservers wordt namelijk het RC4-encryptiealgoritme als eerste algoritme gekozen. RC4 wordt echter als een zwak algoritme beschouwd, zegt Ivan Ristic tegenover Techworld. Steeds meer partijen raden het gebruik van RC4 dan ook af.

Daarnaast heeft Yahoo geen perfect forward secrecy ingesteld. Hierbij wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het aflopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de sessie van gebruikers.

Ristic zegt dat Yahoo de tijd moet krijgen om alle servers op orde te maken als het om encryptie gaat. "Maar misschien moeten ze transparanter zijn over hun planning en wat ze aan het doen zijn."